Voici l’évolution des spams contenant des mots-clefs relatifs à la coupe du monde entre avril et mai 2010 :
Le volume de spams continue donc sa progression. Propageant sa cargaison désormais classique d’arnaques en tous genre, phishing divers, sites infectés,vidéos malveillantes…jusque là, rien de nouveau sous le soleil d’Afrique.
Mais, clairement dans la mouvance actuelle des attaques ciblées, voici un message visant spécifiquement une organisation internationnale reconnue. Ce message propose le téléchargement GRATUIT d’un document sur tout ce que l’on doit savoir lors d’un séjour en Afrique du Sud. Le document d’origine existe réellement (Soccer Travel South Africa - celui-ci est propre !) mais a été modifié pour installer un maliciel sur la machine victime en utilisant une vulnérabilité récente d’Adobe Reader, corrigée depuis.
Ce type d’attaque vise généralement à extraire des informations sensibles/confidentielles des organisations ou entreprises ciblées.
Ce ne sont pas des « gagne-petits »…à l’arrivée cela peut générer des revenus importants, mais va-t-on porter plainte pour une perte ou un vol de 30 € ? Imaginons les files d’attentes devant les commissariats…
Le vol de données personnelles est loin d’être un phénomène nouveau, mais toujours en progression. Preuve en est la découverte récente par l’équipe Symantec Security Response lors de l’analyse d’un nouveau maliciel, d’un serveur abritant 44 millions de comptes de jeux en ligne dérobés.
Mais au delà de cette trouvaille déjà intéressante en terme de volumétrie, c’est le fonctionnement du cheval de Troie lui-même qui peut surprendre. En effet, si Infostealer.Gampass est généralement à l’origine de la capture, Trojan.Loginck a lui pour mission de « confirmer » les comptes dérobés, notamment en terme de validité du mot de passe et autres paramètres comme le niveau du personnage par exemple.
Alors, compte tenu du grand nombre de comptes à « vérifier » ainsi que des potentiels problèmes de verouillage d’un mot de passe après plusieurs essais depuis la même adresse IP, Trojan.Loginck « dispatche » les tâches sur une multitude de bots. Ces machines remontent ensuite les résultats vers une base de données centrale (17 Go pour l’instant…).
Le but étant bien entendu la vente de ces données, mais à quel tarif et pour quel profit au final ?
Difficile à dire pour l’instant, bien que l’on puisse assez facilement évaluer la valeur potentielle de ces comptes en jettant un oeil sur des sites comme www.playerauctions.com ou www.gamewar.com. Bien que la revente de comptes soit prohibée par la plupart des jeux en lignes (comme signifié dans les EULAs) ces sites proposent une version sécurisée de ce type de commerce (à noter qu’il n’y a aucune preuve qu’ils puissent être impliqués dans la revente de comptes volés).
Voici des exemple des tarifs des plus élevés, histoire de se faire une idée du business potentiel :
Là, il y a même des soldes !
Moi, j’ai un Oui-Oui niveau 1 avec un tue-mouche en barbapapa…Combien tu me donnes ?
Le petit logiciel de Connectify (1 Mo…) transforme votre machine sous Windows Seven en point d’accès wifi ! Bien pratique pour partager une connexion internet ou créer un réseau local sans-fil en trois clic pour nos ordis, iTrucs, BlackBidules…..
Evidement, le revers de la médaille est que l’on peut créer tout aussi simplement un point d’accès, disons, pas forcément désintéressé…voir mon article précédent : oh-trop-mortel-un-acces-wifi-gratuit
Un petit nouveau dans le bestiaire avec Trojan.Twebot, issu d’un outil créateur de BotNets dénommé « TwitterNet Builder ». Comme son nom l’indique, les messages de commandes sont transmis par l’intermédiaire d’un compte Twitter que le bot va « suivre ». Rien de vraiment nouveau ici, ce mecanisme ayant déjà identifié en août dernier. Mais cette fois, parmi les fonctions faisant traditionnellement partie des commandes disponibles pour ce type de réseau malveillant comme ».DOWNLOAD » pour forcer un téléchargement ou « .DDOS » pour lancer une attaque en déni de service distribué, on trouve la commande « .SAY » !!!
Cette commande permet à l’attaquant de faire appel à la fonction Text-to-speech de Windows…et ainsi faire parler la machine infectée !
